7. Considerazioni sulla Sicurezza (Security Considerations)

La tecnica descritta in questo documento può aiutare contro un attacco denial-of-service chiamato "random qnames" (qname casuali) descritto nella Sezione 4.

The technique described in this document may help against a denial-of-service attack named "random qnames" described in Section 4.

Se un risolutore non convalida le risposte con DNSSEC, o se la zona non è firmata, il risolutore può ovviamente essere avvelenato con un falso NXDOMAIN, "cancellando" così una parte dell'albero dei nomi di dominio. Questo attacco denial-of-service è già possibile senza le regole di questo documento (ma il "taglio NXDOMAIN" può aumentarne gli effetti). L'unica soluzione è utilizzare DNSSEC.

If a resolver does not validate the answers with DNSSEC, or if the zone is not signed, the resolver can of course be poisoned with a false NXDOMAIN, thus, "deleting" a part of the domain name tree. This denial-of-service attack is already possible without the rules of this document (but "NXDOMAIN cut" may increase its effects). The only solution is to use DNSSEC.